Tvrtka Palo Alto Networks je objavila da se ponovno pojavila kineska hakerska skupina Codoso. Grupa je poznata po napadu na Forbes.com u kojem je kompromitirala probrane korisnike pomoću zero-day ranjivosti u Adobe Flash dodatku, a nakon toga je napala sustav za naplatu Samsung Pay. Codoso koristi varijantu malvera iz Derbusi skupine koji koristi “DLL side-loading” tehniku za ubacivanje malicioznog koda u legitimne aplikacije. Takva tehnika omogućuje mu da ga antivirusni programi teže detektiraju, a i dobiva mogućnost da se pokreće zajedno s operativnim sustavom. Kad se pokrene, malver prikuplja podatke žrtava kao što su IP i MAC adrese, korisnička imena i lozinke, ime računala, detalji o procesoru, itd. Pretpostavlja se da se malver širio preko phishing e-mail poruka ili kompromitacijom legitimnih stranica koje posjećuju ciljane žrtve. Dvije zabilježene verzije malvera komuniciraju sa svojim C&C poslužiteljem preko HTTP protokola ili prilagođenog mrežnog protokola preko porta 22. Napominje se da Codoso skupina koristi nekoliko zero-day ranjivosti i malver kojeg je teško detektirati.